<address id="n1rrn"><pre id="n1rrn"><ruby id="n1rrn"></ruby></pre></address>

           

          專家觀點 | 關鍵信息基礎設施保護走實向深<font color=

          2022-09-20 11:32:31來源:深圳融安網絡科技有限公司

          文 | 郝志強  國家工業信息安全發展研究中心副主任

          圖片
          近年來,信息與通信技術迅猛發展,網絡空間深度融入到經濟社會發展、人民生活和社會治理各個方面,極大地影響和改變了社會生產活動方式,在促進經濟發展、技術創新、文化繁榮和社會進步的同時,網絡安全問題,尤其是關鍵信息基礎設施網絡安全問題日益嚴峻。關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重。保障關鍵信息基礎設施的安全,對于維護國家網絡空間主權和國家安全、保障經濟社會健康發展、維護公共利益和公民合法權益都具有十分重大的意義。




          美國、歐盟、俄羅斯等發達國家不斷調整和完善關鍵信息基礎設施保護的相關法規,以應對不斷升級的網絡安全威脅。2017年,俄羅斯頒布了《聯邦關鍵信息基礎設施安全法》以保障關鍵信息基礎設施在遭受網絡攻擊時的穩定運行。2021年,拜登簽發國家安全備忘錄加速推進美國關鍵基礎設施網絡安全升級,同年歐盟委員會推動《歐盟量子通信基礎設施計劃》為歐洲各地提供可靠、安全和經濟的連接服務。
          我國早已把網絡安全上升至國家戰略的高度。2021年8月17日,國務院第745號令《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)公布,并于9月1日起施行?!稐l例》對關鍵信息基礎設施運營者提出了一系列安全要求,屬于法定義務,受到業界各方密切關注?!稐l例》實施一年以來,網絡安全保護意識和能力水平均得到了有效提升。


          圖片




          《條例》為應對網絡安全嚴峻形勢提出了解決方案




          近年來,全球范圍內針對關鍵信息基礎設施的攻擊呈快速增長趨勢。

          2019年,委內瑞拉國家電網干線遭到攻擊,造成全國大面積停電;2021年科洛尼爾管道運輸公司遭遇網絡攻擊,致使美國多州進入緊急狀態,美國國家運輸安全管理局因此頒布了首部針對管道行業的強制性網絡安全指令,以替代先前的自愿性指導文件;2022年俄烏戰爭期間,烏克蘭的黑客支持者對白俄羅斯鐵路網絡進行攻擊,導致正常的鐵路調度無法完成。針對關鍵信息基礎設施的網絡攻防對抗已成為常態。



          《條例》是貫徹落實習近平總書記關于網絡強國重要思想的具體措施,也是近年來國家網絡安全和信息化工作成功經驗的制度化提升,為我國深入開展關鍵信息基礎設施安全保護工作提供了有力法治保障,為應對網絡安全嚴峻形勢提出了解決方案。
          從運營者、保護工作部門、各主管監管部門、國家等四個層面,明確了各個角色關鍵信息基礎設施保護的責任義務。一是明確了運營者的主體責任。明確了運營者安全保護“三同步”、網絡安全保護制度和責任制、安全檢測評估要求、網絡安全審查要求和重大威脅應對等內容;二是突出行業和國家層面的保障促進。對保護工作部門、主管監管部門保護提出具體要求,明確了網絡安全信息共享、監測預警制度、應急處置、定期檢查與整改、能源電信優先保障等要求,突出了對關鍵信息基礎設施安全保護措施的“關鍵”要求;三是明確建立了“上下聯動,左右協調”的管理體系。強調安全保護堅持“綜合協調、分工負責、依法保護”的工作原則,涉及“指導、配合、支持、協助、通報”等需要各層面配合開展的工作,覆蓋了認定規則和結果確定、人員安全背景審查、網絡安全信息共享、檢查檢測等方面工作,部門職責更為明確,工作流程更為清晰,保護措施更具可操作性,為指導各部門開展相關工作提出了較為明確的方案。



          《條例》進一步健全了關鍵信息基礎設施安全保護法規體系




          近年來,國家一系列相關法律都對加強關鍵信息基礎設施安全保護作出了明確規定和要求?!毒W絡安全法》《數據安全法》《條例》《個人信息保護法》等政策法規,在關鍵信息基礎設施保護領域形成了覆蓋設施認定、數據流動、運行安全、個人信息保護等方面的框架性規則。
          2019年10月頒布的《密碼法》,提出對關鍵信息基礎設施商用密碼的應用要求。2020年4月,國家網信辦等12部門發布的《網絡安全審查辦法》,對關鍵信息基礎設施供應鏈安全明確保障要求。2021年6月,《數據安全法》明確關鍵信息基礎設施的運營者在境內運營中收集和產生的重要數據的出境安全管理。2021年8月,《個人信息保護法》提出關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在境內收集和產生的個人信息存儲在境內,確需向境外提供的,應當通過國家網信部門組織的安全評估。2021年9月,工業和信息化部、國家互聯網信息辦公室、公安部聯合印發了《網絡產品安全漏洞管理規定》,明確了漏洞管理工作新要求,推動網絡安全威脅和漏洞信息共享平臺建設,推動網絡產品安全漏洞管理工作的制度化和規范化。




          關基保護工作亟需解決的問題




          關鍵信息基礎設施安全保障能力有待提升
          針對我國關鍵信息基礎設施的網絡攻擊呈現脆弱資產靶向定位、網絡邊界高效突破、社工利用廣范圍覆蓋、高持續性威脅潛伏漫游、特定靶標精準打擊等特征,傳統基于邊界防護的分散化、獨立化的防護體系,已難以應對日益增長的針對我國關鍵信息基礎設施的大規模網絡攻擊。需要“動態-持續-全局-協同”的智能化關鍵信息基礎設施保護體系,實現安全感知、認知、控制和協同能力的躍升,提升極限情況下關鍵信息基礎設施網絡攻擊應對能力。


          行業保護措施體系性仍顯不足,缺乏最佳實踐指導關鍵信息基礎設施安全保護典型行業最佳實踐有待優化
          關鍵信息基礎設施保護工作目前仍處于起步和探索階段,各行業在實施網絡安全保護方面缺乏相關具體實踐。在關鍵信息基礎設施認定方面,《條例》界定的關鍵信息基礎設施涉及行業領域眾多,運行狀態、防護需求各異,相關行業認定規則和操作標準有待出臺,企業對關鍵信息基礎設施邊界識別能力有待提升。由于缺乏有效的行業配套政策指導文件,實施過程中容易出現運營者對要求認知不夠、理解不一,工作落實不到位等問題。


          關鍵信息基礎設施運營者政策落實仍不到位
          《條例》中明確關鍵信息基礎設施運營者在關鍵信息基礎設施安全保護中承擔主體責任,但運營者在積極響應新出臺的政策法規時,其安全團隊和管理機構能力尚不滿足關鍵信息基礎設施保護工作需要。一方面,當前運營者主要依賴于等保、密評等現有網絡安全管理體系的相關實踐安全機制,缺乏對關鍵信息基礎設施協同規劃、建設、使用的全生命周期聯動研究。另一方面,多數運營者尚不具備對關鍵信息基礎設施核心技術元件的充分自主可控能力,供應鏈、產業鏈安全仍是制約多數關鍵信息基礎設施安全發展的重要因素,客觀上增大了安全防護的難度,運營者所處信息化發展階段尚不足以滿足關鍵信息基礎設施“動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控”的安全需求。




          深入推動《條例》有力有效落實的工作思考




          深入開展《條例》宣貫培訓,推進標準試點工作
          加強對關鍵信息基礎設施保護相關政策標準的合規管理,通過論壇演講、專題研討、實訓演練等多種形式持續推動《條例》等政策標準的宣貫培訓,加快《條例》等政策標準的落地和應用。選取典型關鍵信息基礎設施,深入開展《條例》等政策標準行業試點示范工作,加強政策引導,逐步完善關鍵信息基礎設施安全標準體系。


            完善重點行業指導性文件,加強安全檢測評估與監測能力建設

          基于《條例》等國家政策標準要求,加快出臺行業關鍵信息基礎設施認定細則,持續制定、細化和完善關鍵信息基礎設施安全保護的行業側指導文件,指導運營者做好關鍵信息基礎設施的準確認定和梳理。加強關鍵行業關鍵信息基礎設施保護的布局和分析,結合標準試點工作,梳理行業關鍵信息基礎設施安全防護要求,形成多行業最佳實踐案例。同時,在技術層面,按照《條例》要求從行業層面推進網絡安全檢測評估,細化明確行業關鍵信息基礎設施評估要求,持續加強行業級監測預警平臺建設,加強網絡安全態勢感知能力建設。



          強化運營者安全防護水平,提升自主創新能力
          運營者應按照《條例》等國家政策標準要求,建章立制健全關鍵信息基礎設施安全保護體系,圍繞制度、組織、人員、建設、運維等夯實安全管理基礎,實現安全防護措施與信息化建設一體化設計、建設、運行。加大自主創新力度,推動自主信息技術研發,加快突破關鍵信息基礎設施保護“卡脖子”技術。嚴格落實網絡安全審查要求,加強對合作伙伴、供應商、上下游企業等相關方的安全準入,不斷強化關鍵信息基礎設施供應鏈安全保障。

              在日益嚴峻復雜的安全形勢下,《條例》作為我國網絡安全保護的重要法規,它的出臺實施將成為指導完善我國關鍵信息基礎設施體系建設的重大舉措,對我國關鍵信息基礎設施安全保護工作具有里程碑意義,是網絡安全保護體系的重要環節和依法治網的重要基石?!稐l例》充分調動了全社會的積極力量,建立起一套完整、科學、嚴密的制度框架。在《條例》的具體施行帶動下,我國的關鍵信息基礎設施保護工作將越來越完善。

          來源:關鍵信息基礎設施安全保護聯盟(籌)

          分享:

          微博
          微信公眾號
          cao死你狠狠cao弄

                <address id="n1rrn"><pre id="n1rrn"><ruby id="n1rrn"></ruby></pre></address>